A Hétpecsét Információbiztonsági Egyesület 66. szakmai fóruma – „Az információvédelem menedzselése”
Az Egyesület 2015. május 20-i fórumán Gasparetz András egyesületi elnök bevezetője információvédelmi és egyesületi aktualitásokról, kapcsolati fejleményekről szólt.
Az Egyesület 2015. május 20-i fórumán Gasparetz András egyesületi elnök bevezetője információvédelmi és egyesületi aktualitásokról, kapcsolati fejleményekről szólt.
Dr.Ormós Zoltán, az Ormós Ügyvédi Iroda vezetője a közösségi oldalak HR és jogi vonatkozásairól tartotta előadását. Szólt a Facebook-oldalak vállalati felhasználókat érintő kérdéseiről, melyek az oldalak kezelését, elérését, az elérés jogosultsági szintjét érintik. Lényeges, hogy kinél van az adminisztrátori, menedzseri szint elérhetősége. A teljeskörű jogosultsággal bíró egy-vagy több IT menedzser közül ugyanis bármelyik könnyen negligálni képes a többieket és a komoly anyagi értéket képviselő Facebook adatokkal vissza tud élni, a vállalati Facebook oldalakat hosszú időre meg is béníthatja.
A Facebook jogosultság kezelésére felhatalmazott menedzserek munkaszerződésébe ezért mindenképpen be kell építeni, hogy személyi változás, távozás esetén a jelszavakat kötelesek átadni, a cégnek a Facebook oldalakhoz való folyamatos hozzáférését kötelesek biztosítani. A kikötéseket érdemes a többi közösségi oldalra is kiterjeszteni, ill. a jogellenes magatartást, amely a vállalat hozzáférését lehetetlenné teszi, nagy összegű napi kötbérrel kell súlytani.
Amennyiben a cég Facebook oldalát online marketing ügynökség kezeli, meg kell akadályozni, hogy ez az ügynökség az un. retarding adatbázist, amely 180 napig őrzi a Facebook adatokat, partizán akcióban más célra, más cégek, akár a konkurrencia előnyére felhasználja. Ezt az ügynökségi szerződésben kell szabályozni.
A munkavállalók Facebook-használatát tekintve felmerül, lehet-e a cégről saját személyes Facebook oldalunkon bármit írni, megjeleníteni? A Munka Törvénykönyve (MT) kimondja, (a munkaviszony fennállása alatt) minden olyan magatartástól tartózkodnunk kell, amely a munkáltató jogos gazdasági érdekeit veszélyezteti.
A munkaszerződésben az alkalmazó a tilalmi időt a munkaviszony megszűnése utáni, meghatározott időre is kikötheti, de ilyenkor az éves munkabér kb. egyharmadának megfelelő kompenzációt kell adnia a letiltott időtartamra.
További megkötés lehet, hogy a munkaviszony során a munkavállaló a munkaidőn kívül sem tanúsíthat a fenti kikötésekkel ellentétben álló magatartást. A vélemény-nyilvánítás szabadságáról szóló alkotmányos jogot tekintve, az MT kimondja, ez a jog bizonyos keretek között korlátozható; a vélemény-nyilvánítás szabadsága az átlag-állampolgárra, az általános kérdésekre vonatkozik, de a munkavállaló munkaviszonyával, munkáltatójával, tevékenységével kapcsolatos dolgok nem tartoznak az általános vélemény-nyilvánítás szabadsága körébe, amennyiben a munkaszerződésben a munkáltató ezt körülírja.
Azonban, a korlátozásnak is van korlátozása; ez csak előzetesen, írásban előírva működik, ha közlik a munkavállalókkal. Munkaszerződés módosítással, vagy szabályzat módosítással lehet ezen változtatni, de érvényességéhez a munkavállaló elismerő aláírása is szükséges.
A véleményszabadság korlátozása csak a munkaviszony rendeltetésével közvetlenül összefüggő, feltétlenül szükséges okból alkalmazható, s a cél elérésével arányosnak kell lennie.
Tarján Gábor, a MagiCom Kft. ügyvezető partnere az ISO/IEC 27001:2005 szabvány-átállással kapcsolatos hazai és nemzetközi auditálási tapasztalatokról szólt. Az átállás fontos szabálya volt, hogy a már tanúsított szervezetek számára az átállás határideje 2015. október 1., megújítók és kezdeti alkalmazók esetén 2014. október 1.
Egyidejűleg olyan párhuzamos tevékenység is zajlott, amely megpróbálta a különböző irányítási rendszer-szabványok szerkezetét egységesíteni. 2013-ban már a vonatkozó direktíva negyedik változatát adták közre, ez szabályozta a különböző irányítási-rendszer szabványok (minőség-menedzsment, környezetvédelmi célú irányítás-menedzsment, stb.) egységes szerkezetbe vonását. Ezzel elvileg a céges oldalon a dokumentációs rendszer kicsit átláthatóbbá, egyszerűbbé válhat. Az új szabvány 14 szabályozási területet, A-melléklete pedig 114 kontrollt tartalmaz, további 244 kontroll opcióval.
Manapság 300-400 között van azon hazai gazdálkodó szervezetek száma, melyek a vonatkozó ISO minősítésben érintettek. A magyar cégek jellemző módon kivárásra játszottak, mindent az utolsó pillanatra hagytak, de a külföld is hasonló módon viselkedik! Pedig az auditot nem lehet tologatni.
Az alapvető kockázat-elemzések az új szabvánnyal nem nagyon változtak. Megjelenik benne a kockázat-tulajdonos koncepció, a cégek ezt is megpróbálják valamilyen módon az egyes információs vagyon elemekhez hozzákötni, de a kockázat-elemzésben sajnos nem nagyon van náluk változás. Amennyiben egy cégnél a vagyonleltárba egy év alatt nem nagyon kerülnek be új vagyon-elemek, nem jelennek meg új kockázatok, nincsenek átértékelve a kockázatok a közelmúlt eseményei mentén, akkor a kockázat-elemzések csak formális célokat szolgálnak.
Az alkalmazhatósági nyilatkozat egy-egy információ-biztonsági irányítási rendszernél fontos szerepet tölt be, de ezt továbbra is mechanikusan, a régi szabványból vett példa nyomán, az új 114 kontrollal próbálják megoldani.
Az A-melléklet összeállítói azonban szemléletében csak iránymutató dokumentumnak szánták azt, azaz, hogy milyen típusú kontrollokra lehet, vagy érdemes gondolni, de a cégek gondolkodásának korlátozása nélkül.
Az audit-példaként vett hazai cégek közül sajnos egyik sem lépett túl ezen a 114 kontrollon saját rendszerének kialakításakor…
Pozitív fejlemény viszont a munkatársi tudatosítás, ezen a területen egyre jellemzőbbek az e-learninges megoldások. A cégek rájöttek, a klasszikus tantermi képzés nem korszerű eredmény-oldalról.
Összegezve, a tanúsító szemével nézve látható az energia-minimalizálásra törekvést, a kockázat felmérés eredménye és a tényleges védelmi intézkedések között még mindig csekély összefüggés mutatkozik. A kockázat-elemzés eredménye és a kontrollok, amelyeket egy-egy gazdálkodó szervezet alkalmaz, nincsenek összhangban.
Tehát a védelmi intézkedések nem a kockázat-elemzésből következnek, pedig a józan ész azt indokolná. Azt kellene védenem jobban, amihez nagyobb kockázat fűzhető.
Tanúsítói oldalról nézve, a tanúsítási dokumentáció „egyszerűsödött", a korábbi 11-oldalas ellenőrzési lista helyett most 18 oldalassal kell dolgozni… Praktikus változás viszont, hogy a korábbi kiterjedt körű munkavállalói kérdő-listák helyett nagyobb hangsúly, több idő esik a menedzsmentre.
Az ISO 9001-nek ebben az évben új változata várható, ugyanúgy, mint az egyéb menedzsment szabványokban, a a kockázat-elemzés ebben is meg fog jelenni, az információ biztonsági kockázatok helyett lehetőség nyílik üzleti kockázatokban való gondolkodásra, józanabb megközelítésként. Egységesíthető vele a dokumentáció is, s a technológiai kihívások megválaszolására is tér nyílhat.
Az információ-biztonság mérhetővé tételével kapcsolatban még sok teendő mutatkozik.
Tekler Krisztián, a NewCo Trading Kft. vezető rendszermérnöke a biztonságos mobil-, és távoli munkavégzésről szólt, a „távmunka" vonatkozásában, a távmunkát a legszélesebben értelmezve. Alap ellentmondás; a cégek és a munkavállalók elvárásai biztonsági szempontból egymást kizáró tényezők, ezt kell valamilyen formában feloldani. Az Android pl. egyáltalán nem céges környezetre készült. Gyártók álltak rá az Android API szintű kiterjesztésére.
A Samsung ment el legtovább ebben. A létező Android megoldásoknál a biztonság nem áll jó helyen, a rendszer menedzselése megoldatlan. Az iOS és a WindowsPhone kínál bizonyos lehetőségeket.
Céges tulajdonú eszközöknél mindenre van biztonsági megoldás, a teljes kontroll a céges IT kezében van.
Munkavállalói tulajdonú eszköznél az adatvédelmi problémák előtérbe kerülnek, mélységük függ a munkavállalók tudatos hozzáállásától is.
A biztonságos távoli munkavégzés egyik megoldása; az un. „konténer", a másik a kvázi-konténer Excitor DME és az Excitor G/On, bármely mobil és bármely asztali operációs rendszerre.
Léstyán Ákos, az SGS Hungária Kft. vezető auditora az üzletmenet-folytonosság aktuális kérdéseit foglalta össze, vajon mit ért a szervezet üzletmenet-folytonosság alatt, katasztrófa-terv alatt, mit érnek a vonatkozó tervek.
A tervszerű eljárás menete; megnézik a cég (pl. bank) működését, ezt a legapróbb részletekig lebontják, térképezik,
rangsorolják, a kritikusnak minősített folyamatok mindegyikére akciótervet készítenek. Ehhez kapcsolódóan, az incidenskezelési üzletmenet eljárásokban rögzítik, kinek mi a dolga, felelőssége, mikor kinek milyen jelentési és cselekvési kötelezettsége van.
Az alap a 27001-es szabványcsalád az információvédelem irányításáról, sajnos sok szervezet ennél meg is áll.
A 27031-es üzletmenet információbiztonsági ajánlások és útmutató jelentik a továbblépést. Az üzletmenet-folytonossági tervezésre is jelent meg a közelmúltban egy szabványcsalád.
A 27001-es szabványban az üzletmenet folytonosságnak csak az a része követelmény, ami az információ-biztonság irányítással függ össze.
Az üzletmenet folytonosság menedzsment kiindulása mindig az üzleti kockázat-, és hatás-elemzés. Sajnos a szervezetek többnyire nem ezt követik, inkább „érzésre" járnak el; hogy mit hogyan lehet pótolni, helyreállítani, nem veszik figyelembe az erőforrások hatásmechanizmusát.
Ahhoz, hogy ténylegesen kezelni tudjuk az információ-biztonság folytonosságát, meg kell értenünk üzleti folyamatainkat, látnunk kell a folyamatok egymásra, az információ biztonságra és a környezetre való hatását.
Rendkívüli események és kockázatok, amelyeket figyelembe kell venni; áramkimaradás, tűzeset, földrengés, emberi hibák, emberi kiesések hibái, az információs rendszerek nem tervezett megújítása, cseréje, foltozása, szerver szobákra ható kockázatok. Stratégiára van szükség, hogy minek a folytonosságát, milyen szintek menetét akarjuk biztosítani.
Terveket kell kidolgozni minderre. A kép nem mindig egyszerű, mert elmosódik a határ az üzletmenet folytonosság és a katasztrófa elhárítási terv között. Mondható, hogy az üzletmenet folytonosságnak minősített esete a katasztrófa elhárítás. Az üzletmenet folytonosság átfogó kategóriaként való értelmezésekor annak része a DRP. Minden tervnek szabványos eljárási dokumentációval kell rendelkeznie.
Az összeállítás szempontjai; minden rangsorolt és kritikusnak minősített folyamatra készüljön akcióterv, az üzleti folyamatok és a környezeti hatások figyelembe vételével. Illetékes szervezet kell, vezetőkkel, felelősökkel.
A tervek részletezettsége nagy jelentőségű, legyen „forgatókönyv" a szereplők feladatairól, olyan kivitelben, hogy a kevésbé hozzáértő is gondolkodás nélkül végre tudja hajtani a teendőket.
A lefektetett teendőket sűrűn gyakorolni és tesztelni kell. Ez a legnehezebb rész a folyamatos üzletmenet szempontjából…A szabvány elfogad tárgyalótermi tesztet, gondolati tesztet is.
A fórumról szóló információk, valamint az Egyesület életéről és az információbiztonsággal kapcsolatos érdekességek a Hétpecsét Egyesület LinkedIn oldalán olvashatók.
www.hetpecset.hu
forum@hetpecset.hu
Harmat Lajos